Sécurité réseau dans un cluster Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines


Résumé

En introduisant le concept de micro-services, Kubernetes lance un nouveau défi aux solutions d’isolation et de filtrage réseau : comment gérer les droits d’accès réseau dans une infrastructure en constante mutation et dans laquelle une machine n’a plus un rôle prédéterminé ?


La majorité des outils d’isolation et de contrôle d’accès réseau sont fondés sur un principe simple : l’accès réseau nécessaire au bon fonctionnement de chaque machine est statique, et étroitement lié à sa fonction au sein de l’infrastructure. Dans une infrastructure en micro-services, l’orchestrateur peut décider à tout moment de changer le rôle d’une instance, ou même demander à ce que plusieurs services indépendants soient exécutés côte à côte. Il y a alors deux options : ne plus filtrer l’accès réseau pour permettre à n’importe quelle application de fonctionner, ou migrer vers une nouvelle génération d’outils de protection dynamique d’accès réseau.

1. Les outils classiques de contrôle d’accès réseau ne sont plus suffisants

1.1 Restriction de l’accès réseau : objectifs et intérêts

Kubernetes explique dans sa documentation [1] que les pods d’un cluster sont « non-isolés » par défaut. Concrètement, cela...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] « Network policies », Documentation officielle de Kubernetes : https://kubernetes.io/docs/concepts/services-networking/network-policies

[2] « Payment Card Industry », Security Standards Council : https://fr.pcisecuritystandards.org/document_library

[3] Heartin Kanikathottu, « AWS Security Cookbook », 2020

[4] IPTables manuel page, Linux, https://linux.die.net/man/8/iptables

[5] Thomas Gutzmann, « IPTables Firewall Setup for Dynamic DNS », 2017 : https://wiki.gutzmann.com/confluence/display/HowTo/IPTables+Firewall+Setup+for+Dynamic+DNS

[6] AWS IP ranges : https://ip-ranges.amazonaws.com/ip-ranges.json

[7] « The Kubernetes network model », Documentation officielle de Kubernetes : https://kubernetes.io/docs/concepts/cluster-administration/networking/#the-kubernetes-network-model

[8] « NetworkPolicy API definition », Documentation officielle de Kubernetes : https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.19/#networkpolicy-v1-networking-k8s-io

[9] « Network policies prerequisites », Documentation officielle de Kubernetes : https://kubernetes.io/docs/concepts/services-networking/network-policies/#prerequisites

[10] « Kubelet », Documentation officielle de Kubernetes : https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/

[11] « Cluster networking », Documentation officielle de Kubernetes : https://kubernetes.io/docs/concepts/cluster-administration/networking/#how-to-implement-the-kubernetes-networking-model

[12] « DaemonSet », Documentation officielle de Kubernetes : https://kubernetes.io/docs/concepts/workloads/controllers/daemonset/

[13] « BPF and XDP reference guide », Documentation officielle de Cilium : https://docs.cilium.io/en/v1.8/bpf/#bpf-guide

[14] « Overlay Network Mode », Documentation officielle de Cilium : https://docs.cilium.io/en/v0.12/concepts/#overlay-network-mode

[15] « Identity based network security », Documentation officielle de Cilium : https://docs.cilium.io/en/v1.8/concepts/security/identity/

[16] Guillaume Fournier, Code source du projet « network-security-probe », 2020 : https://github.com/Gui774ume/network-security-probe

[17] Lorenzo Fontana et David Calavera, « Linux Observability with BPF », 2019.

[18] Guillaume Fournier, « Process level network security monitoring and enforcement with eBPF », SSTIC, 2020 : https://www.sstic.org/2020/presentation/process_level_network_security_monitoring_and_enforcement_with_ebpf/



Articles qui pourraient vous intéresser...

Sécurisez votre réseau

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Maintenant que notre serveur principal est déployé et que nous y avons appliqué un premier niveau de sécurisation système, occupons-nous de sa sécurisation réseau. Nous allons détailler en quoi les attaques réseau sont primordiales dans notre modèle de menace. Comme nous le verrons, l’accès distant est le risque principal qui guette nos serveurs. Nous allons mettre en œuvre une sécurité en profondeur et les mesures de protection réseau en seront une de ses dimensions importantes.

CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Cet article explique comment trois vulnérabilités supplémentaires ont été découvertes dans le client VPN Cisco AnyConnect pour Windows. Elles ont été trouvées suite au développement d’un exploit pour la CVE-2020-3153 (une élévation de privilèges, étudiée dans MISC n°111). Après un rappel du fonctionnement de ce logiciel, nous étudierons chacune de ces nouvelles vulnérabilités.

Introduction au dossier : Sécurisez vos serveurs et votre réseau local

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

2020 aura été une année marquante pour nos vies et nos sociétés. Il aura fallu se réinventer, trouver des solutions à des situations exceptionnelles. Dans les entreprises, l'Éducation ou la Santé, la mobilisation des ressources informatiques aura été maximale. Nos infrastructures auront ployé, tangué, parfois presque craqué, mais au final, cela aura tenu.

Passez à nftables, le « nouveau » firewall de Linux

Magazine
Marque
Linux Pratique
Numéro
122
Mois de parution
novembre 2020
Domaines
Résumé

Le firewall est un élément important pour sécuriser un réseau. Il est prouvé que la sécurité par l’obscurantisme ne fonctionne pas. Ce n’est donc pas une bonne idée d’utiliser une boîte noire en priant pour que tout se passe bien. Un bon firewall est donc installé sur un système d’exploitation libre. Linux fait évoluer le sien d’iptables vers nftables. Nous montrons dans cet article comment débuter avec la nouvelle mouture.